Ini sebenarnya tidak didefinisikan secara eksplisit di mana saja, dan apakah server harus "dipercaya" atau tidak tergantung pada klien (yang tentu saja bisa menjadi server email lain) yang terhubung dengannya; mengutip dari RFC yang relevan ( RFC 2487 ):
Jika klien SMTP memutuskan bahwa tingkat otentikasi atau
privasi tidak cukup tinggi untuk melanjutkan, itu HARUS mengeluarkan
perintah SMIT QUIT segera setelah negosiasi TLS selesai.
Jika server SMTP memutuskan bahwa tingkat otentikasi atau
privasi tidak cukup tinggi untuk melanjutkan, itu HARUS membalas
setiap perintah SMTP dari klien (selain dari perintah QUIT) dengan
kode balasan 554 (dengan kemungkinan teks string seperti itu sebagai "Perintah
ditolak karena kurangnya keamanan").
Keputusan apakah atau tidak percaya keaslian
pihak lain dalam negosiasi TLS adalah masalah lokal. Namun, beberapa
aturan umum untuk keputusan tersebut adalah:
- A SMTP client would probably only want to authenticate an SMTP
server whose server certificate has a domain name that is the
domain name that the client thought it was connecting to.
Apa artinya ini pada dasarnya adalah, ketika server menawarkan enkripsi TLS menggunakan sertifikat yang diberikan, keputusan untuk menerima atau menolak sepenuhnya tergantung pada bagian lain, yang mungkin ingin nama pada sertifikat itu sama dengan yang terhubung, tetapi dapat menerimanya dengan sangat baik bahkan jika itu tidak cocok.
Tapi tunggu, masih ada lagi. Mengutip lagi dari RFC yang sama:
Setelah menyelesaikan jabat tangan TLS, protokol SMTP diatur ulang ke
keadaan awal (keadaan dalam SMTP setelah server mengeluarkan sebuah
salam siap pakai layanan 220 ). Server HARUS membuang segala pengetahuan yang
diperoleh dari klien, seperti argumen ke perintah EHLO,
yang tidak diperoleh dari negosiasi TLS itu sendiri. Klien
HARUS membuang segala pengetahuan yang diperoleh dari server, seperti daftar
ekstensi layanan SMTP, yang tidak diperoleh dari
negosiasi TLS itu sendiri. Klien HARUS mengirim perintah EHLO sebagai
perintah pertama setelah negosiasi TLS berhasil.
Jadi, apa yang dikatakan server sebagai tanggapan terhadap HELO / EHLO sebelum jabat tangan TLS tampaknya tidak penting sama sekali.
Dalam pengalaman saya, sertifikat yang ditandatangani sendiri berfungsi cukup baik di server surat yang menghadap Internet, yang berarti server surat lain bahkan tidak repot-repot memvalidasi mereka, mereka hanya akan dengan senang hati menerima apa pun yang dapat memberikan enkripsi TLS, terlepas dari penerbitan nama otoritas atau subjek.